東京ガスWebサイト「myTOKYOGAS」への不正ログインに関する考察

——————————————–
<2017/9/22追記>
2017年9月22に公表された不正アクセスの考察についてはコチラに記載しました。
東京ガスWebサイト「myTOKYOGAS」への不正ログインに関する考察-第2弾-
——————————————–

2017年8月31日に東京ガスのユーザーが各種手続きなどに使用するWebサイト「myTOKYOGAS」が外部からの不正アクセスを受け、17件の個人情報が流出したと発表されました。こちらにについて、攻撃の傾向や対処策などを考察していこうと思います。

 

1.攻撃の内容

詳細はコチラの報告書に記載されているのですが、ざっくり攻撃の内容をまとめると、以下のような内容です。

・8月30日の16時ごろから攻撃されていた
・攻撃を検知したのは8月31日15時ごろ
・攻撃手法はリスト型アカウントハッキング
・攻撃元は国外の特定プロバイダの複数IPアドレス
・攻撃は延べ10万件
 

2.対処について

報告書に記載がある通り、暫定対処として個人情報保護を優先するためにmyTOKYOGASを停止してます。また、これに伴い同一サーバ上にある「引越しのお手続き」の一部サービスも使用できなくなりました。

その後の対処として、ISP内で国外ISPから来るアクセスをブロックすることで不正アクセスを止め、9月1日 0:30にWebサイトを再開しています。
 

3.経緯から推測できること

はじめに気になったのは、攻撃件数に比べてログイン成功件数が少ないことです。一般的にリスト型アカウントハッキングでは、成功率が0.1～1%程度と言われています。今回は0.017％なので、
・リストの精度が低く手あたり次第やってみていた？
・そもそもメールアドレスリストだけで、パスワード情報は持っていなかった？
のどちらかだと考えられます。

次に、myTOKYOGASのセキュリティ対策についての考察です。
※あくまで事象からの推測になります。

今回のケースでは攻撃に気づくのに約1日かかっていることから、おそらくログイン失敗回数の異常をリアルタイムで検知する仕組みはなく、定期的なログ監視、もしくはリソース枯渇によるログ調査で発覚したものと思います。また、リスト型アカウントハッキング対策として有効であるWAFも設置されていなかったと考えられます。
 

4.対処について

リスト型アカウントハッキングに対する暫定対処として、海外からのアクセスを止めるということは有効な策になります。今回は東京ガスのサイトなのでユーザーはすべて日本国内にいると考えられ、本対策によるユーザー影響は発生しないように思います。ただし、最近ではインターネット上のプロキシサービス経由などのアクセスもあり、これらはアクセス元IPアドレスが海外になるケースもありますので、これらのユーザーを救済する措置も必要になります。

また上記対処では国内ISPから攻撃を受けた場合には回避できないため、再発防止を考慮した恒久対処とは言いづらいです。恒久対処としてはリスト型アカウントハッキングをさせない、もしくはブロックできる以下のような仕組みが必要だと考えます。

・ユーザーIDを任意の文字列にする
　→メールアドレスに比べ外部に知られている可能性が低いため
　→傾向としてユーザーIDがメールアドレスのサイトが狙われるケースが多い

・二要素認証を取り入れる
　→ワンタイムパスワードやSMS認証などがないと、ログインできなくする

・CAPTHA認証やパズル認証などの画像認証を取り入れる
　→ツールなどによる自動的なログイン操作できないようにする

・WAFを導入する（SaaS型もあり）
　→リスト型アカウントハッキングを検知・ブロックできる
 

■こちらの記事も併せてお読みください！
セキュリティ脅威と対策の分類